Ignorer les liens de navigation | |
Quitter l'aperu | |
Procédures de l'administrateur Oracle Solaris Trusted Extensions |
1. Concepts d'administration de Trusted Extensions
2. Outils d'administration de Trusted Extensions
3. Mise en route en tant qu'administrateur Trusted Extensions (tâches)
4. Exigences de sécurité sur un système Trusted Extensions (présentation)
5. Administration des exigences de sécurité dans Trusted Extensions (tâches)
6. Utilisateurs, droits et rôles dans Trusted Extensions (présentation)
7. Gestion des utilisateurs, des droits et des rôles dans Trusted Extensions (tâches)
8. Administration à distance dans Trusted Extensions (tâches)
9. Trusted Extensions et LDAP (présentation)
10. Gestion des zones dans Trusted Extensions (tâches)
11. Gestion et montage de fichiers dans Trusted Extensions (tâches)
12. Gestion de réseaux de confiance (présentation)
13. Gestion des réseaux dans Trusted Extensions (tâches)
14. Messagerie multiniveau dans Trusted Extensions (présentation)
15. Gestion de l'impression étiquetée (tâches)
16. Périphériques dans Trusted Extensions (présentation)
Protection des périphériques avec le logiciel Trusted Extensions
Plages d'étiquettes des périphériques
Effets de la plage d'étiquettes sur un périphérique
Interface graphique du gestionnaire d'allocation de périphériques
Application de la sécurité des périphériques dans Trusted Extensions
Périphériques dans Trusted Extensions (référence)
17. Gestion des périphériques pour Trusted Extensions (tâches)
18. Audit de Trusted Extensions (présentation)
19. Gestion des logiciels dans Trusted Extensions (tâches)
A. Guide de référence rapide pour l'administration de Trusted Extensions
Sur un système Oracle Solaris les périphériques peuvent être protégés par allocation et par autorisation. Par défaut, les périphériques sont disponibles sans autorisation pour les utilisateurs standard. Un système configuré avec le logiciel Trusted Extensions utilise les mécanismes de protection des périphériques du SE Oracle Solaris.
Toutefois, Trusted Extensions requiert par défaut qu'un périphérique soit alloué pour être utilisé et que son utilisateur soit autorisé à l'utiliser. En outre, les périphériques sont protégés par des étiquettes. Trusted Extensions fournit aux administrateurs une interface graphique leur permettant de gérer les périphériques. La même interface est utilisée par les utilisateurs pour l'allocation des périphériques.
Remarque - Dans Trusted Extensions, les utilisateurs ne peuvent pas utiliser les commandes allocate et deallocate. Ils doivent utiliser le gestionnaire d'allocation de périphériques (Device Allocation Manager). Dans Solaris Trusted Extensions (JDS), le titre de l'interface graphique est Device Manager (Gestionnaire de périphériques).
Pour plus d'informations sur la protection des périphériques dans le SE Oracle Solaris, reportez-vous au Chapitre 4, Controlling Access to Devices (Tasks) du System Administration Guide: Security Services.
Sur un système configuré avec Trusted Extensions, deux rôles protègent les périphériques.
Le rôle d'administrateur système contrôle l'accès aux périphériques.
L'administrateur système rend allouable un périphérique. Les périphériques qu'il rend non allouables ne peuvent être utilisés par personne. Seuls des utilisateurs autorisés peuvent allouer des périphériques allouables.
Le rôle d'administrateur de sécurité restreint les étiquettes permettant d'accéder à un périphérique et définit la stratégie de périphérique. C'est l'administrateur de la sécurité qui décide qui est autorisé à allouer un périphérique.
Vous trouverez ci-dessous les principales fonctions de contrôle de périphériques avec le logiciel Trusted Extensions :
Par défaut, un utilisateur non autorisé sur un système Trusted Extensions ne peut pas allouer de périphériques tels que les lecteurs de bande, les unités de CD-ROM ou les unités de disquette.
Un utilisateur standard doté de l'autorisation Allocate Device (Allouer un périphérique) peut importer ou exporter des informations sous l'étiquette de laquelle l'utilisateur alloue le périphérique.
Les utilisateurs appellent le gestionnaire d'allocation de périphériques (Device Allocation Manager) lorsqu'ils sont directement connectés. Pour allouer un périphérique à distance, les utilisateurs doivent avoir accès à la zone globale. En règle générale, seuls les rôles ont accès à cette zone.
La plage d'étiquettes de chaque périphérique peut être restreinte par l'administrateur de sécurité. Les utilisateurs standard ont un accès limité aux seuls périphériques dont la plage d'étiquettes inclut les étiquettes avec lesquelles ils sont autorisés à travailler. La plage d'étiquettes par défaut d'un périphérique est comprise entre ADMIN_LOW et ADMIN_HIGH.
Les plages d'étiquettes peuvent être restreintes pour les périphériques allouables et non allouables. Les périphériques non allouables sont des périphériques tels que les mémoires graphiques et les imprimantes.
Pour éviter toute copie d'informations sensibles, chaque périphérique allouable dispose d'une plage d'étiquettes. Pour utiliser un périphérique allouable, l'utilisateur doit être en train de travailler avec une étiquette comprise dans la plage. Dans le cas contraire, l'allocation lui est refusée. L'étiquette en cours de l'utilisateur est appliquée aux données importées ou exportées lorsque le périphérique est alloué à l'utilisateur. L'étiquette des données exportées s'affiche lorsque le périphérique est libéré. L'utilisateur doit étiqueter physiquement le support contenant les données exportées.
Pour restreindre l'accès par connexion directe via la console, l'administrateur de sécurité peut définir une plage d'étiquettes restreinte sur la mémoire graphique.
Par exemple, une plage d'étiquettes restreinte peut être spécifiée pour limiter l'accès à un système public. La plage d'étiquettes permet alors aux utilisateurs d'accéder au seul système dont l'étiquette est comprise dans la plage de la mémoire graphique.
Lorsqu'un hôte dispose d'une imprimante locale, une plage d'étiquettes restreinte sur l'imprimante limite le nombre de travaux pouvant être imprimés.
Trusted Extensions observe les mêmes stratégies de périphérique que le SE Oracle Solaris. L'administrateur de sécurité peut modifier les stratégies par défaut et en définir de nouvelles. La commande getdevpolicy récupère les informations sur la stratégie de périphérique et la commande update_drv permet de modifier la stratégie. Pour plus d'informations, reportez-vous à la section Configuring Device Policy (Task Map) du System Administration Guide: Security Services. Reportez-vous également aux pages de manuel getdevpolicy(1M) et update_drv(1M).
Un script de nettoyage de périphériques s'exécute à chaque fois qu'un périphérique est alloué ou libéré. Le SE Oracle Solaris propose des scripts pour des lecteurs de bande ainsi que les unités de CD-ROM et de disquette. Si votre site ajoute des types de périphérique allouable au système, les périphériques ajoutés peuvent avoir besoin de scripts. Pour connaître les scripts existants, accédez au répertoire /etc/security/lib. Pour plus d'informations, reportez-vous à la section Device-Clean Scripts du System Administration Guide: Security Services.
Pour le logiciel Trusted Extensions, les scripts de nettoyage de périphériques doivent satisfaire à certaines exigences. Les conditions requises sont décrites dans la page de manuel device_clean(5).